Top Vulnerabilidades Críticas 23-04-2026

cve-2026-5718 afecta a un plugin de carga de archivos permitiendo ejecución remota de código debido a la carga no restringida de archivos peligrosos. Esta vulnerabilidad está siendo explotada activamente, lo que la convierte en crítica por el riesgo directo que supone para los sistemas afectados. cve-2026-33626 afecta a internlm lmdeploy y permite ataques de Server-Side Request Forgery, forzando al servidor a realizar peticiones a dominios arbitrarios. Es una vulnerabilidad crítica y con explotación activa que compromete la seguridad del sistema. cve-2024-22927 describe una vulnerabilidad crítica de Cross-site Scripting en eyoucms que permite la ejecución remota de código malicioso mediante la inyección de scripts. La explotación activa confirma su gravedad y necesidad de mitigación urgente. cve-2026-4119 afecta al plugin Create DB Tables de WordPress, permitiendo a usuarios con niveles mínimos eliminar o crear tablas de base de datos sin restricciones. La vulnerabilidad permite comprometer la integridad completa del sitio WordPress, siendo explotada activamente. cve-2026-6235 permite a atacantes no autenticados modificar la configuración SMTP en Sendmachine para WordPress, comprometiendo la seguridad de todos los correos enviados por el sitio. cve-2026-6356 reporta una escalada de privilegios crítica en una aplicación web que permite a usuarios estándar obtener control de superadministrador y acceder a datos sensibles. Esta vulnerabilidad destaca por su alto impacto en la seguridad y la confirmación de explotación activa. cve-2018-25270 afecta a ThinkPHP con una vulnerabilidad crítica que permite ejecución remota de código mediante un fallo en el parámetro de enrutamiento. Esta falla permite ejecutar comandos del sistema sin autenticación previa, comprometiendo la seguridad de la aplicación. cve-2018-25272 afecta a ELBA ELBA5 permitiendo ejecución remota de código y acceso con privilegios elevados mediante credenciales por defecto. Esta falla crítica facilita la toma total del sistema y la exfiltración de credenciales. cve-2026-34415 afecta a Xerte Online Toolkits permitiendo la ejecución remota de código a través de un fallo en la validación de extensiones en el conector elFinder. Un atacante sin autenticación puede subir y ejecutar código malicioso con una extensión PHP no filtrada, comprometiendo el servidor. cve-2026-41468 expone fallos críticos de ejecución remota en Beghelli Sicuro24 SicuroWeb debido a vulnerabilidades en AngularJS. Esta vulnerabilidad permite ataques sin interacción, afectando la integridad y seguridad de las sesiones web. cve-2026-33471 afecta a Nimiq core-rs-albatross y permite la manipulación en la validación de pruebas de bloques. La vulnerabilidad compromete la integridad del consenso al permitir firmas repetidas para pasar verificaciones con menos firmantes reales. cve-2026-33656 afecta a EspoCRM y permite la escritura arbitraria de archivos mediante manipulación sin sanitización de rutas, facilitando la redirección de operaciones de archivo a ubicaciones arbitrarias dentro del servidor web. Esta vulnerabilidad es crítica y requiere atención inmediata para evitar explotación. cve-2026-41167 describe una inyección SQL crítica que permite ejecución remota de código con privilegios elevados en Jellystat. Esta vulnerabilidad permite acceder y ejecutar comandos arbitrarios en el servidor de base de datos, comprometiendo la administración del sistema y datos sensibles. cve-2026-41176 afecta a Rclone permitiendo acceso no autorizado a funcionalidades administrativas por configuración insegura del endpoint RC. Esta vulnerabilidad crítica permite a atacantes sin autenticar acceder y modificar configuraciones sensibles en sistemas afectados. cve-2026-41179 expone una ejecución remota de comandos sin autenticación en Rclone. Esta brecha afecta la seguridad de la sincronización en la nube, permitiendo control del sistema a atacantes. cve-2026-41196 afecta a la plataforma Luanti, permitiendo la ejecución remota de código y acceso total al sistema. Esta vulnerabilidad es crítica y se ha confirmado su explotación activa. La mitigación requiere una actualización o modificación manual en la configuración para limitar la función que facilita el ataque. cve-2026-41197 afecta a Noir Brillig provocando corrupción de memoria por asignación errónea en arrays anidados. Esta vulnerabilidad crítica permite la corrupción del heap y afecta la integridad de la máquina virtual. cve-2026-41679 permite ejecución remota de código en Paperclip sin autenticación, explotable en configuración por defecto. La vulnerabilidad permite control total sin interacción del usuario. cve-2026-3844 afecta a WordPress Breeze Cache permitiendo la carga arbitraria de archivos y posible ejecución remota de código en condiciones específicas. Es una vulnerabilidad crítica con explotación confirmada que afecta a versiones hasta la 2.4.4 inclusive.